利用 MVP 來防護印表機需要組合一或多個元件—「鑑別」、「授權」及「群組」—來定義哪些人允許使用印表機,以及這些使用者能夠存取哪些功能。
配置印表機安全性之前,最好先建置一項計劃,標示出使用者包括哪些人,以及他們必須執行的作業內容。需納入考慮的項目可能包括,印表機的位置、非授權的人員是否能存取該區域、具敏感性的文件傳送至印表機或儲存在印表機上,以及您組織的資訊安全政策。
鑑別是系統透過安全方式識別使用者的一種方法(亦即,識別您的身份)。
授權可用來指定通過系統鑑別的使用者所能使用的功能。這組授權功能又稱為「存取權限」。
MVP 使用下列其中一或多個項目(又稱為建立區塊),來處理鑑別及授權:
個人識別碼
密碼
內部帳戶
LDAP
LDAP+GSSAPI
Kerberos 5
NTLM
只要限制知悉正確程式碼的任何人對印表機(或印表機的特定功能)的存取權,即可單獨使用某些「建立區塊」(例如:「密碼」或「個人識別碼」),來提供低層級安全。這種安全類型可能適用於印表機放在公司休息室或其他公共場所的情況,因為該作法可以限制只有知悉密碼或個人識別碼的員工,才能夠使用該印表機。只要輸入正確密碼或個人識別碼,任何人都可以享有相同的權限,因而無法逐一識別使用者,在此情況下,密碼或個人識別碼的安全性較低,相對地,建立區塊要求對使用者進行識別或同時進行識別及鑑別,所以安全性較高。
管理者最多可指定 32 個群組,用以關聯至「內部帳戶」或 LDAP/LDAP+GSSAPI 建立區塊。基於 MVP 安全的目的,可利用群組來識別需存取類似功能的各組使用者。例如,在「A 公司」中,倉儲員工並不需要彩色列印,但銷售和行銷部門的員工每天都需使用彩色列印。在此情況下,就有必要建立「倉儲」群組和「銷售與行銷」群組。
依預設,所有裝置功能表、設定及功能都不會啟動安全性。「存取控制」(在某些裝置中,又稱為「功能存取控制」)可用來管理對特定功能表和功能的存取權,或用來將它們完全關閉。您可以利用密碼、個人識別碼或安全範本,來設定存取控制。可加以控制的功能,其數量因裝置類型而異,但在某些多功能複合機中,可以受保護的個別功能表和功能則超過 40 個。
| 請注意: 如需個別「存取控制」及其用途的清單,請參閱存取控制的功能表。 |
某些情況只需要基本的安全性(例如:對一般裝置功能的受密碼保護存取權),但某些情況則需要更嚴謹的安全和角色型限制。從個別的角度來看,建立區塊、群組及存取控制可能無法滿足複雜的安全環境需求。對於不同群組中需要存取一般功能組(例如:列印、複印及傳真)的使用者,若要配合其需求,管理者必須能夠組合這些構成要素,而且所採用的組合方式,必須能夠為所有使用者提供其所需功能,並限制其他功能只有授權使用者才能使用。
安全範本是一種設定檔,此設定檔是使用一個建立區塊,或若干個與一或多個群組配對的建立區塊建構而成。所建立的安全類型,取決於這些建立區塊的結合方式:
建立區塊 | 安全類型 |
內部帳戶 | 僅鑑別 |
含有群組的內部帳戶 | 鑑別與授權 |
Kerberos 5 | 僅鑑別 |
LDAP | 僅鑑別 |
含有群組的 LDAP | 鑑別與授權 |
LDAP + GSSAPI | 僅鑑別 |
含有群組的 LDAP + GSSAPI | 鑑別與授權 |
NTLM | 僅鑑別 |
密碼 | 僅授權 |
個人識別碼 | 僅授權 |
每一個裝置最多可支援 140 個安全範本,管理者可針對每一項存取控制,建立非常特定的設定檔(或角色)。